1、風險管理過程編號文件狀態草稿V正式發布正在修改當前版本V1.0擬制日期審核日期批準日期發布日期生效日期修訂歷史記錄A-增加M-修訂D-刪除變更版本號日期變更類型(A*M*D)修改人摘要備注A建立風險管理過程定義文件A增加組織級風險管理過程1. 目的42. 適用圍43. 名詞術語44. 概述45. 過程定義45.1 風險管理過程75.1.1 角色和職責85.1.2 入口準則85.1.3 輸入95.1.4 過程活動95.1.5 輸出115.1.6 出口準則115.1.7 度量115.1.8 確認與驗證126. 規程127. 標準與規128. 裁剪指南129. 模板與表格1210. 實施指導125

2、.目的5.1 規公司風險管理過程。5.2 提供項目經理進行風險管理過程的說明和行動指南。6 .適用圍6.1 機構研發中心。6.2 業務項目實施過程中的風險管理，貫穿整個項目生命周期。7 .名詞術語7.1 RSKM(RiskManagement):風險管理。7.2 項目干系人(Stakeholder)：在一定程度上，對項目的實施和成果負責，或受其影響的群組或個人。項目干系人可能包括項目團隊成員、提供商、客戶、最終用戶等。8 .概述風險管理是貫穿項目整個生命周期的一系列持續性活動，分別為風險識別、風險分析、風險減緩、風險跟蹤、風險控制以及風險狀態通報。項目風險控制小組有必要在項目組例會或其它場合，

3、與項目組骨干或項目組全體成員一起對項目風險管理進行交流，收集項目組成員對項目風險的意見和建議。對于不便公開的風險，項目經理需要控制項目組部了解的圍。對各個項目形成的風險統計數據一并貢獻到組織級資產庫。9 .過程定義9.1 組織級風險管理過程考慮到項目級風險管理的有效性，組織層面需要建立相應的活動來提供項目風險管理一定的指導，活動頻率定義為不低于1季度1次。具體活動如下所示：組織級風險管理輸入組織成員EPG/組織級配置管理員高層經理PMO/組織級QA輸出組織資產庫_組織級風險來源及類別分析指南L7組織級質量目標、年度發展綱要等.T1產p»(干始?建立、維護來源及專H織的風防上類指南11

4、建立、維護組織日勺風僉參數定義指南質量保證建立、維護!緩解策略1織的風險制定指南組織的風險來源及分類指南1建立、維護組織的風險緩解措施組織的風險參數定義及緩解策略指；J收集項目有效風險至組織風險列表組織風險列表IX-結束_/5.1.1角色和職責角色職責組織成員1、向QA或直接向EPG提交風險管理相關過程改進建議。2、向組織貢獻風險相關知識、經驗教訓等。EPG負責組織級風險管理相關體系文件、組織風險列表等的維護工作。高層經理1、輔助進行組織資產庫中相關風險管理容的更新。2、負責項目風險管理相關計劃、緩解措施等的批準。組織級配置管理員1、按照EPG勺計劃更新組織資產庫容。2、根據項目經理的請求及E

5、PG的批準情況提供項目經理及其團隊相關組織資產庫風險管理相關容。PMCM組織級QA對EPG所進行的組織風險管理活動進行監控及質量保證。5.1.2入口準則?組織級風險管理是一個循環的過程，可以在每半年或每季度的開始執行相應的過程活動；?如果有必要及時更新體系文件或相應指南，也可以隨時啟動組織級風險管理過程；9.1.5 輸入?組織資產庫?風險來源及分類指南?公司質量目標或年度發展綱要等9.1.6 過程活動組織級風險管理是周期性活動，一般情況下，每季度或半年至少需進行一次完整的組織級風險管理活動；對于年公司有重大的活動安排或商業目標轉變等（如公司上市安排，公司商業圍擴展或主營業務轉變等），需要立即重

6、新進行組織級風險管理活動。1）建立、維護組織的風險來源及分類指南EPG通過對行業部及組織風險列表的分析和總結，更新組織的風險來源及分類指南文件。需要特別說明的是，針對每年公司的商業目標或年度發展綱要等變化，需要識別出相應的特定風險。例如，年公司要進行IPO上市計劃，則需要提前識別在該年度可能新增的相應風險，比如人力、財力在這項活動上的投入可能導致其他工作資源得不到很好的保證等等。2）建立、維護組織的風險參數定義指南EPG建立、維護組織的風險參數列表，對于風險發生的危害等級及可能性定量描述需根據組織的相關質量目標變化而變化，例如針對組織目前定義的進度偏差小于15%屬于正常圍，我們初步定義風險對于

7、項目進度偏差的影響在30%以上的屬高度危險，但該數值需隨未來各項質量目標變化而變化。3）建立、維護組織的風險緩解策略制定指南略。4）建立、維護組織的風險緩解措施EPG建立、維護組織可能發生的風險的參考性緩解措施，這里給出的所有緩解措施必須具備以下幾個條件之一：.從以往實施過的項目風險有效緩解措施中收集得到；.具有可操作性；.可以屬于公司的項目風險管理最佳實踐活動；.屬于行業或合伙公司收集到的最佳風險管理緩解措施案例等；.得到所有EPG的共同認可并允許放入組織風險緩解措施列表中；5）收集項目有效風險至組織風險列表項目在執行過程中、項目結項、項目異常終結等多個時間點均可向組織提交共性風險。需要說明

8、的是,共性風險是對其他項目經理具有參考價值的風險類別，例如，A項目的某部分產品組件為外包開發，因此該組件開發好后與整體系統的接口是否能夠適配成為該項目的一個風險，但應該識別出的共性風險為，項目中如果有相應的外包工作，相應工作產品的接口適配問題。6）必要的質量保證活動組織級QA檢查EPG團隊維護的組織風險相關容并收集相關過程改進建議。9.1.7 輸出?更新的風險管理體系文件?更新的組織風險庫?更新的其他組織資產庫容9.1.8 出口準則?完成本輪組織級風險管理活動-所有共性風險已收集，更新了相關組織級風險管理指南文件，所有工作產品已得到評審并重新發布（對于可能造成重大影響的文件升級可臨時發布，待整

9、個體系文件下次過程改進后再納入到新的OSS版本）。9.1.9 度量組織級QA（度量人員）對以下數據進行度量：?EP誠員風險管理相關工作量度量?風險按類別進行分類數量統計?組織風險的緩解措施執行有效性9.1.10 確認與驗證1、更新后的過程體系文件需要進行正規的技術評審才能發布；2、相應的組織風險指南更新活動需要進行EP3B評審和技術評審后才能完成；3、組織風險庫的更新需要填寫相應入庫單，得到EPG員過半通過后才能更新；4、PMO責人負責檢查相應的過程活動執行情況。項目級風險管理過程風險管理是貫穿項目整個生命周期的一系列持續性活動，包括制定風險管理計劃、識別風險、應對風險、監控風險。5.1.1角

10、色和職責角色職責項目經理1、負責管理風險管理過程的整個活動。項目組成員3、向項目經理提交識別的風險；4、按項目組確定的風險處理措施處理、跟蹤風險。5.1.2入口準則項目已經完成啟動過程。5.1.3輸入?項目技術要求?項目合同?組織資產庫5.1.4過程活動1）制定風險管理計劃項目風險管理計劃描述整個項目生命周期中風險的識別、定性和定量分析、應對計劃、監督等活動。項目風險管理計劃是項目計劃的一個重要組成部分，由項目風險管理小組在項目策劃階段，根據項目章程、客戶需求和風險計劃模板，制定完成，并同其他項目計劃一起納入配置管理中。風險管理計劃主要包括以下容：?標識風險項以及與之對應的減緩計劃和應急計劃?

11、確定項目干系人，并確定其介入時機2）識別風險識別風險就是在風險發生前識別并定位風險的存在，具體包括：項目的潛在的風險、引起這些風險的主要因素以及風險可能引起的后果。由項目風險管理小組定期，或在制定項目計劃或修訂項目計劃階段負責執行。?風險識別常用的方法：a）頭腦風暴法b）經驗法c）情景分析法?風險識別的結果：a）項目風險清單b）項目風險的征兆3）評估風險評估風險是將風險數據轉換為決策信息，包括評價風險造成的影響大小以及風險發生可能性大小，并且綜合這兩種因素最終評定風險優先級。?定性風險分析定量風險分析風險發生的可能性風險發生的嚴重性高中低大963中642小321風險等級劃定標準顏色風險等級數值

12、圍簡單描述16-9大-高、大-中、中-高23-4大-低、中-中、小-低31-2中-低、小-中、小-低風險分析據項目特點和組織關注的角度來確定已識別的風險的重要性，并進行排序。主要是根定量風險分析是量化分析每一個風險的發生概率及其對項目目標造成的后果。定量分析一般是在定性分析之后進行，兩種分析過程可以單獨或都采用。風險嚴重性分為：高、中、低。30蛆上,20蛆上,高：對項目進度、項目成本、項目質量會造成重大影響，如項目進度可能延遲項目成本會增加30%A上。中：對項目進度、項目成本、項目質量會造成嚴重影響，如項目進度可能延遲項目成本會增加20%H上。低：對項目進度、項目成本、項目質量會造成一定的影響

13、。根據風險概率計算表，風險的等級=風險發生的嚴重性-風險的可能性所形成的類型來判定的，大-高、大-中、中-高三類屬于一級風險；大-低、中-中、小-低三類屬于二級風險；中-低、小-中、小-低三類屬于三級風險;4）應對風險風險應對計劃主要是對經風險評估確定的所有中高兩級風險的項目制定的，對優先級較低的風險可以不制定風險應對計劃。應對風險計劃主要有以下兩類：?風險緩解計劃?風險應急計劃5）監督風險?風險監控風險監控是指監視風險狀態，并執行相應得風險減緩行動，并在實施的過程中修正。?風險狀態通報項目經理將項目風險報表和風險優先級前5名（如果有）的風險項目作為項目風險管理報告的一部分，每周提交公司PMO

14、6）更新組織風險列表在項目結束后，EPG根據該項目中發生的各項風險情況，決定哪些風險可以補充到組織風險列表中。輸出?項目風險跟蹤表出口準則?項目已結項度量項目經理（度量人員）對以下數據進行度量：?識別的各類風險（參照風險列表）的數目和總數?識別的風險在開發各個階段狀態的分布；（Issue表示該風險已在計劃中發布；Active代表風險項目正在或已經變為現實；Close表示風險項目已經不存在；）?實際發生的風險，以及其中得到控制的風險和未得到控制的風險確認與驗證1、QA定期或事件驅動的評審項目風險管理的執行情況，并向PMO匚報。2、項目經理需要制定風險管理計劃及追蹤；3、高層經理協助項目經理中處理項目中發生的重大風險，并跟蹤其處理情況。.規程無.標準與規SP-RSKM-C01風險管理檢查單.裁剪指南無。.模板與表格SP-RSKM-T01項目風險跟蹤表模板.實施指導項目的后續工作均會涉及風險管理。以下是對“風險管理”過程實施時的進一步指導說明：1）、管理配置項對“風險管理”過程產生的所有有價值的文檔應納入配置管理的適當層次。主要文檔示例如下：?項目風險管理計劃?項目風險